Взломал госсистему — получил благодарность. Как превратить уголовную статью в общественно полезное дело (и не сесть)

leer en español

Португалия CNCS Германия Министерство юстиции США киберпреступления закон уязвимости
Взломал госсистему — получил благодарность. Как превратить уголовную статью в общественно полезное дело (и не сесть)
Португалия CNCS Германия Министерство юстиции США киберпреступления закон уязвимости

Многолетние мольбы IT-сообщества наконец были услышаны.

image

Португалия расширила правовые рамки в сфере цифровой безопасности, закрепив защиту для добросовестных специалистов, изучающих уязвимости в информационных системах. Обновлённая норма стала ответом на давний запрос отрасли, стремящейся работать открыто и без риска столкнуться с уголовными обвинениями за технические действия, выполняемые в интересах кибербезопасности.

Изменения затронули статью 8.º-A, в которой появилось положение об интересе общества в укреплении защиты цифровой инфраструктуры. Оно освобождает от наказания тех, кто получает доступ к системам или данным исключительно ради выявления слабых мест и последующего уведомления ответственных лиц. Правила при этом строго сформулированы.

Действия допускаются лишь для обнаружения уязвимостей, не созданных самим исследователем, без получения выгоды сверх обычного вознаграждения. Обнаруженные проблемы необходимо оперативно направлять владельцу ресурса, ответственному за обработку данных, и национальному центру кибербезопасности CNCS.

Работу предписано ограничивать только тем, что требуется для диагностики, без вмешательства в функционирование сервисов, изменения информации или нанесения ущерба. Запрещено применение методов, связанных с отказом в обслуживании, социальной инженерией, хищением паролей, изменением данных или распространением вредоносных программ. Любые полученные сведения подлежат удалению в течение десяти дней после устранения проблемы. Отдельно уточнено, что при согласии владельца системы найденные уязвимости всё равно должны быть переданы в CNCS.

Страна таким образом очерчивает границы допустимых методов и одновременно предоставляет правовые гарантии тем, кто действует в общественных интересах. Похожие инициативы ранее появились в Германии, где Министерство юстиции представило проект законодательства с аналогичными положениями, а также в США, где Минюст внёс изменения в подход к преследованию по закону CFAA.

Все эти меры формируют условия, при которых добросовестные специалисты могут открыто работать с уязвимостями и сообщать о них, не опасаясь уголовных последствий.